Sécurité PC et Internet/sécurité sites Internet

Sécurité PC et Internet/sécurité-sites-internet

Apprentissage à la sécurité (domestique) PC et Internet

Publier un site Internet (webpage/homepage) nécessite une grande responsabilité de nos jours. Si le site Internet n’est pas assez protégé, vous infectez des milliers d’autres visiteurs de votre site Internet !

Il faut apprendre à déjouer les pièges dès le début. Veuillez suivre les bonnes pistes ci-dessous.

Anciennement un knol qui a été créé le 01.03.2009 et qui a été migré sur WordPress le 02.01.2012.

Authors


"En tant que pays et en tant qu’individus, nous sommes vulnérables aux cyberattaques", a souligné M. Lieberman, et "faire l’éducation des internautes sur ces menaces et vulnérabilités est essentiel pour déjouer de telles attaques".


Citation de "Dossier pour la science" : L’ère d’internet Numéro 66 – Janvier-Mars 2010 (page 79) :

Notre société, où l’informatique occupe une place centrale, est vulnérable face au cybercrime. Celui-ci est alimenté par une économie souterraine. Des pirates informatiques forment d’immenses réseaux d’ordinateurs, qui ont de multiples applications : cyberguerres, saturation de sites, envoi de spam…

Les alertes de sécurité informatique gratuites…

Internet Monitor (Luxembourg/Europe)

↑ Grab this Headline Animator

Bookmark and Share


Si vous vouliez regarder plus souvent mon blog, mais vous ne disposez pas tout le temps d’une connexion Internet, pas de problème… Pour les utilisateurs de Firefox, téléchargez l’extension Firefox "ScrapBook". Une autre possibilité, qui travaille avec tous les navigateurs, est l’utilisation d’un aspirateur de sites Internet, tel que "HTTrack". Cette extension copie des pages Internet complètes et, de cette façon, il vous est possible de la visionner sans connexion Internet.
Afin de vous retrouver lors de votre prochaine visite, je vous conseille de vous abonner au service gratuit de "WatchThatPage" et vous serez notifié quotidiennement des changements dans mon blog. Vous trouverez ici mon didacticiel qui vous guidera à travers la procédure à suivre : Didacticiel WatchThatPage


Bookmark and Share


Internet, cet outil formidable qui fait fonction de la plus grande bibliothèque mondiale et qui est aussi devenu un monde virtuel, dont son contenu est rédigé par les internautes, commence à devenir une zone incontrôlable, une zone de méfiance, mais surtout un paradis pour les cybercriminels et un cauchemar pour les internautes…

Sachez que le sécurité commence d’abord dans notre tête ! Croire qu’un système d’exploitation (n’importe lequel) est invulnérable est la plus grande bêtise que l’on peut penser et avec cette mentalité il est sûr et certain que votre ordinateur sera infecté un de ces jours !


Il y a 5 ans, 90 % des attaques portaient sur les systèmes d’exploitation (Windows) et 10 % sur les applications. Aujourd’hui, c’est exactement le contraire ! »


Le crime sur Internet rapporte plus que le trafic de drogue, sur Internet, c’est toutes les trois secondes qu’une identité est volée ! Source : LEMATIN (CH) [ajouté au 04.10.2009]
04.07.2011:

Antisec dit avoir piraté un serveur d’Apple – Internet – sécurité – Actualités Sciences-Tech – FRANCE 2 : toute l’info – France 2



Je suis déjà un utilisateur averti et j’ai créé (ou je veux créer) un site Internet, à quoi dois-je faire attention ?

.

Pour créer un site Internet il y a différentes possibilités :

.

.


Attention : Geocities va fermer ses portes fin 2009, le message définitif viendra en été !!!
 (ajouté au 24.04.2009)

Ajoute au 10.07.2009 : —> Yahoo Geocities fermera ses portes le :

Important notice: GeoCities is closing.

Dear Yahoo! GeoCities customer,

We’re writing to let you know that Yahoo! GeoCities, our free web site building service and community, is closing on October 26, 2009.


  • ou bien, avec un peu de connaissances de programmation (ou même sans connaissances de programmation) il y a des solutions préfabriquées, appelées des CMS (Content Management Systems) qui utilisent la plupart du temps du PHP, que l’on installe sur son ordinateur ou qui peuvent être intégrées dans une offre d’hébergement (hosting) et de ce fait être installées sur le serveur de l’hébergeur, tels que (les plus connus), liste non exhaustive :

Une liste plus détaillée ici : TOTH

Or, quand on utilise ces CMS et LMS (LCMS [Learning Content Management Systems]) il faut être conscient qu’il peut y avoir des failles de sécurité (vulnérabilités) qui seront découvertes et publiées.


Dès publication de ces vulnérabilités il faut être sur le qui-vive, attendre la publication d’une mise à jour sur le site des développeurs pour l’installer tout de suite après. 


Autrement vous risquez que votre site Internet soit infecté et qu’il devient la proie de la mafia informatique. Votre site Internet servira à infecter les ordinateurs de vos visiteurs…

Bookmark and Share


Liens connexes :
Vulnérabilités et risques de Joomla, TYPO3, Drupal et autres services Open Source :

Bookmark and Share


Veuillez visionner la présentation Powerpoint qui vous explique en détail les enjeux…


Existe-t-il des outils spéciaux pour contrôler la sécurité  des sites Internet ?

.

À la mode est actuellement le cross-site scripting (XSS) , l’injection de code (code injection) et les applets signés. Nous avions décrit en détail le fonctionnement et la tendance (trend) de ces attaques dans nos articles précédents :

.

Rappelons toutes fois que pour ne pas devenir victime d’une telle attaque, qu’en dehors de la nécessité d’installer un antivirus, d’un firewall (pare-feu), d’un antispyware et d’un antitroyen, il faut impérativement aussi télécharger et installer les mises à jour (updates, patches, correctifs) du système d’exploitation utilisé (Windows, Mac, Linux, et autres…) et surtout veiller à mettre à jour les logiciels dits «utilitaires indispensables», tels que «Java, Adobe Acrobat Reader, Adobe Flash, Firefox, Internet Explorer, Opera, Open Office, VLC Media Player, Media Player, Real Player, etc.».


Bookmark and Share
Veuillez télécharger mon didacticiel, qui vous guidera à travers l’utilisation du service gratuit en ligne Secunia Software Inspector , à l’adresse Scan gratuit de logiciels installés 

Veuillez aussi visiter mon knol Sécurité PC et Internet / mises à jour

Mes articles précédents s’occupaient seulement de l’internaute, mais qu’en est-il pour le webmaster (webmestre), celui qui s’occupe de la conception, création et gestion d’un site Internet ? 
Pour la création de sites Internet on utilise de plus en plus le PHP  et des CMS (Content Management Systems) , basant sur le PHP et/ou basant sur du Java et Python. Les plus connus sont certainement Joomla  (anciennement Mambo), Typo3 , et pour la création de forums le phpBB .

Or dans toutes ces applications des vulnérabilités ont été découvertes et on en trouvera certainement aussi dans le futur.


 Ces vulnérabilités doivent être colmatées au plus vite afin de ne pas permettre à la mafia informatique (les cybercriminels) d’avoir accès au serveur où le site Internet est hébergé et ainsi de préparer le site Internet avec du code malicieux pour infecter les visiteurs.


Les outils gratuits en ligne

Symantec, éditeur de produits de sécurité connus sous le nom de Norton…, vient de créer un nouveau service en ligne, le Norton Safe Web. Testez l’intégrité et la sécurité d’un site Internet gratuitement en ligne.

Les serveurs de Symantec analysent les sites Web pour vérifier leur effet sur votre ordinateur. Ensuite, à l’aide de la barre d’outils Norton installée sur votre PC, le degré de sécurité du site Internet sera indiqué avant que vous ne le visitiez.

Ce service est aussi gratuitement disponible comme test en ligne ici : Norton Safe Web 



Un exemple concret ci-dessous

Bookmark and Share

Les outils de protection pour l’internaute

(ajouté au 25.04.2009)

Étant au courant maintenant des dangers réels, vous vous demandez certainement "

Comment puis-je savoir si un site Internet est frauduleux ?" et/ou "comment puis-je me protéger ?".

Bonne question, voici la réponse.
Il existe des extensions pour les navigateurs, des "barres d’outils" (toolbars), appelées des "add on", des modules complémentaires tels que (liste non exhaustive) :
Ma barre d’outils (Internet Monitor ) vous offre les services suivants gratuits, voir la capture d’écran ci-dessous svp.
Cliquez sur l’image pour l’agrandir
Les didacticiels (tutoriaux / tutorials) disponibles pour les applications ci-dessus :
Vidéo de WOT en anglais, mais très facile à comprendre
Bookmark and Share

Exemples pratiques :


Navigation avec Mozilla Firefox et la "NetCraft Toolbar" :
Ci-dessus une capture d’écran (screenshot) qui a été faite lors d’une navigation sur Internet et qui montre que le site Internet visité représente un danger élevé. "Risk Rating" (en haut à gauche) au maximum et en rouge.

Bookmark and Share

Pour toujours être informé des vulnérabilités, je vous conseille de visiter les sites Internet Security Focus et Securityspace et de vous abonner à leur flux d’information RSS

Voir aussi l’article 5.000 sites Internet infectés par jour 

Le webmaster (webmestre) doit donc toujours être au courant des vulnérabilités présentes et précédentes et ainsi tenir à jour impérativement le code source de ces applications. Le webmaster a donc une très grande responsabilité pour garder sécurisé un site Internet, chose pas facile du tout. 
Mais comment savoir maintenant, même ayant travaillé sérieusement (des non-sérieux existent aussi) si un site Internet est bien sécurisé pour ne pas permettre à la mafia informatique de le détourner (hijacking) pour des actions illégales ?
Heureusement il existe une multitude d’outils, même gratuits qui permettent de faire des tests approfondis, appelés aussi "Web site assessment", du serveur et des applications y présentes, dont voici une sélection non exhaustive, ainsi que des sites Internet réputés traitant la sécurité spécifique de ses attaques:
.
.
.


Avec cette sélection d’outils de contrôle vous disposez maintenant d’un arsenal puissant pour pouvoir vérifier la sécurité de vos applications. 


Mais n’oubliez pas non plus la sécurité de l’ordinateur avec lequel vous entretenez la gestion de votre site Internet. Si celui-ci n’est pas assez sécurisé il se pourrait qu’il soit infecté et que les pirates informatiques aient accès à votre code d’accès du serveur. À ce moment là ce sera le contrôle total pour les cybercriminels !

Bookmark and Share
Veuillez lire aussi les articles suivants :
Je tiens à préciser que ces outils sont seulement à utiliser pour le test des propres sites. Toute tentative de les utiliser sur d’autres sites est une effraction aux lois et sera puni !



Shields up!

Oui, bien évidemment quand il y a moyen de faire du commerce des solutions sont proposées par des firmes spécialisées en applications de sécurité, mais il existe aussi des outils gratuits sortants de la forge de l’Open Source :


Remarque : OWASP existe aussi pour Mac et Linux OWASP Pantera Web Assessment Studio Project 

Bookmark and Share


Extrait du magazine de sécurité GOBAL SECURITY MAG :


Scanners de vulnérabilité : une nécessité, mais le test d’intrusion humain est irremplaçable.

De nombreuses vulnérabilités sont identifiées chaque jour dans des applications courantes. Les outils permettant une détection – et une éradication – de ces vulnérabilités au sein du Système d’Information sont devenus une nécessité pour les entreprises soucieuses de leur sécurité. 

Toutefois, rien ne peut remplacer un test d’intrusion réalisé par des experts. 

Nécessaire : Veuillez lire l’article complet ici GLOBAL SECURITY MAG 

Fin extrait.


Liens connexes :



Récapitulatif

Les "webmasters" des sites Internet ont une grande responsabilité pour maintenir leurs sites Internet à jour. Surtout ceux qui utilisent des sites Internet employant du PHP et des bases de données avec PHP MySQL. Assez souvent, malheureusement, des vulnérabilités sont détectées qui permettent aux cybercriminels d’exploiter ces vulnérabiltés et d’injecter du code malicieux dans ces sites Internet (code injection et/ou cross-site scripting [XSS] ). Ce code malicieux est conçu sur la connaissance des dernières vulnérabilités détectées dans les applications tierces, c’est à dire : si une vulnérabilité est détectée par exemple dans Adobe Acrobat Reader , les cybercriminels créeront un code malicieux qui vise à infecter tout utilisateur n’ayant pas mis à jour son ordinateur, qui ne dispose pas de la dernière version de cet utilitaire.


D’abord ils rechercheront les sites Internet qui ne disposent pas des dernières mises à jour et puis ils injecteront le code malicieux préparé. 

Un site Internet qui est compromis, infecte alors tout visiteur dont l’ordinateur ne dispose pas des dernières mises à jour. Il suffit tout simplement de visiter le site Internet, aucune interaction de l’internaute est nécessaire. On appelle ceci du"drive by download".

Scénarios possibles de XSS (en anglais) :


Bookmark and Share

References

  1. PHP
  2. CMS

L’auteur Gust MEES est membre du "Comité Conseil" de "Luxembourg Safer Internet" (LuSI), appelé maintenant BEE-SECURE, partenaire officiel (consultant) du Ministère de l’éducation au Luxembourg du projet  "MySecureIT", partenaire officiel du Ministère du Commerce au Luxembourg du projet "CASES" (Cyberworld Awareness and Security Enhancement Structure).

The author Gust MEES is "Member of the Advisory Board" from "Luxembourg Safer Internet" (LuSI), BEE-SECURE, Official Partner (Consultant) from the Ministry of Education in Luxembourg, project "MySecureIT", Official Partner from the Ministry of Commerce in Luxembourg, project "CASES" (Cyberworld Awareness and Security Enhancement Structure).

Si vous ne trouviez pas réponse à votre question, n’hésitez pas à laisser un commentaire avec votre question. J’essaierais de répondre prochainement…

.

Ces FAQ’s grandiront chaque jour… gràce à vous chers lecteurs ;)

.

..

.

.

6 Responses to Sécurité PC et Internet/sécurité sites Internet

  1. Ping : Sécurité PC et Internet/sécurité sites Internet | ICT Security-Sécurité PC et Internet | Scoop.it

  2. Ping : Sécurité PC et Internet/sécurité sites Internet | Free Tutorials in EN, FR, DE | Scoop.it

  3. Ping : Sécurité PC et Internet/sécurité sites Internet | A New Society, a new education! | Scoop.it

  4. Ping : Sécurité PC et Internet/sécurité sites Internet « juandon. Innovación y conocimiento

  5. Ping : Sécurité PC et Internet/FAQ’s « gustmeesfr

  6. Ping : My migrated knols-part1/May 11 – Knol to WordPress-Annotum Migration

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

Suivre

Recevez les nouvelles publications par mail.

%d bloggers like this: